情報漏洩対策サイト　第一回　原因の80％は内側にアリ

HOME＞コラム一覧＞セコムトラストシステムズの考える情報セキュリティ＞情報漏洩対策サイト＞第一回　原因の80%は内側にアリ

内部からの情報漏洩を防ぐ対策を施すためには、まず、実際の情報漏洩がどのようにして行われるかを理解することが必要です。前のページで見ていただいた情報漏洩経路の図にもあったとおり、情報を外部へ持ち出すためには、メールでの送信、CD-ROMやUSBメモリーなどのメディアにコピーしての持ち出し、デジタルデータのプリントアウトや紙情報のコピーなどの「物理的な要素」が多く存在しています。内部からの情報漏洩は、こうした物理的な要素を介し意図的に、もしくはミスによって起こるのです。漏洩経路は複数ありますが、これを関係者への抑止や監視、制限などの方法で、すべてに対策を施すことによってようやく防ぐことができます。情報漏洩対策には、トータルな対策が不可欠なのです。

トータルな情報漏洩対策の３つの要素

それでは、トータルな情報漏洩対策について、もうすこし具体的に見ていくことにしましょう。まず、セコムトラストシステムズが考えるトータルな情報漏洩対策には次の３つの要素があります。

対策のポイント：人に対する「牽制と抑止」、物理的な「不正持ち出し対策」
具体的な対策：ICカードや指紋などによる識別／監視カメラや警備員による監視／操作区画への入退制御／機器や媒体などの持ち込み、持ち出し検査　等

対策のポイント：操作PCの「機能制限」、システムへの「アクセス制御」
具体的な対策：ICカードやデジタル証明などによる操作者の識別＆操作機能の制限／操作履歴（操作者、操作日時、操作内容等）の保存／プログラム、データごとのアクセス制御　等

対策のポイント：恒常的な不正アクセスの「常時監視」と「脆弱性対策」
具体的な対策：ファイアウォールなどの脆弱性把握＆対策実施／不正アクセス常時監視と緊急対処／定期手粋なセキュリティ診断

繰り返しますが、こうした対策は個別に行っても万全ではありません。１つの経路を防いでも、抜け道があれば、そこから情報は漏れてしまうのです。情報漏洩対策は、トータルで行ってこそ初めて効果を発揮するものと、セコムトラストシステムズは考えます。

内部漏洩対策だからこそ、外部のセキュリティ・エキスパートの協力が効果的

はじめにも書きましたが、恐らく、これを読まれている多くの企業ではなんらかの情報漏洩対策がすでに行われているのではないかと思います。そして、情報漏洩によって受けるインパクトの大きさについてもご認識されていることでしょう。しかし、情報漏洩対策を行っていくためには、網羅的に対策を行っていけるノウハウや技術力、そして通常のシステム導入などとは異なる視点が必要となってきます。そのすべてを自社で対応するのは簡単なことではありません。そこで、我々のようなセキュリティのエキスパートにアウトソースするのもひとつの選択肢です。

内部からの情報漏洩対策を自社だけで行った場合、物理セキュリティに関しても、データアクセス制御やネットワークセキュリティに関しても、どうしても抜け道が残ってしまいます。また、内部の従業員に対して、情報へのアクセスを抑止、制限するためには、そもそも情報が内部にあるよりも外部にあるほうが物理的な制御を行いやすいといったこともあります。例えば、私たちのサービスのひとつであるセキュアデータセンターでは、ICカードリーダーによる入退室管理、常駐警備員やカメラによる監視、金属探知機などの物理的なセキュリティと、不正侵入検知システムやファイアウォールなどのサイバーセキュリティにより、フィジカルとサイバーを統合した情報セキュリティを実現しています。

このように、セコムでは、トータルな情報漏洩対策のための様々なサービスをご用意しています。次回、以降は「物理セキュリティ」、「データアクセス制御」、「ネットワークセキュリティ」の３回に分け、それぞれより具体的な紹介をさせていただこうと思います。まず、第二回となる次回は、

対策の基礎となる物理セキュリティ

と題して、物理セキュリティ強化のためのポイントや具体的な対策についてご紹介していきます。

第四回
ネットワークという生命線を守るには